Uber fue pirateado por un adolescente: esto es lo que sabemos hasta ahora

Publicado: 2022-09-19

ACTUALIZACIÓN 16/9/2022 1:56 p. m. ET: Uber ha respondido al informe de The New York Times. La compañía afirma que no tiene evidencia de que se haya accedido a datos confidenciales y que se haya notificado a las fuerzas del orden. Lea el informe original a continuación.

El gigante de viajes compartidos Uber confirmó hoy que ha sido pirateado. El atacante, hablando con The New York Times , afirma haber penetrado en los sistemas internos de comunicaciones e ingeniería de la empresa.

Este incidente es extraño en muchos niveles. Si bien el alcance de la intrusión sigue sin estar claro, lo que sabemos es realmente asombroso.

Con la poca información que tenemos, analizaremos este incidente, analizaremos la respuesta de Uber y exploraremos las posibles consecuencias para los usuarios de Uber.

el atacante

aplicación uber en iphone — Imagen: Unsplash

Aquí están las buenas noticias: el atacante no parece estar operando como parte de una pandilla criminal con fines de lucro o un equipo de piratería patrocinado por el estado.

De hecho, el hacker aparece motivado por la curiosidad y el deseo de transgredir las defensas digitales de la compañía de taxis más valiosa del mundo.

Cómo sabemos esto? Primero, el atacante fue bastante sincero sobre sus motivaciones. En declaraciones a The New York Times , afirmaron ser un entusiasta de la ciberseguridad de 18 años.

¿Por qué Uber entró en su punto de mira? Porque el atacante afirmó que “tenía una seguridad débil”.

Además, anunciaron su presencia a Uber. Después de obtener acceso a sus sistemas internos, el pirata informático publicó un mensaje de Slack que decía: "Anuncio que soy un pirata informático y Uber ha sufrido una violación de datos".

Los verdaderos actores maliciosos tienden a permanecer en silencio el mayor tiempo posible. O actúan con decisión para paralizar a la empresa y obtener un gran rescate. Ninguna de esas cosas sucedió aquí.

El mensaje de Slack también pedía a Uber que pagara más a sus conductores y enumeraba varias bases de datos internas. Como último golpe de gracia, el atacante, según The New York Times , publicó “una foto explícita en una página de información interna para empleados”.

El ataque

Uber, lo que necesitas saber, el hilo.

1) pic.twitter.com/CXU75bqrZU
– Kevin Beaumont (@GossiTheDog) 16 de septiembre de 2022

Al momento de escribir este artículo, Uber aún no ha publicado su autopsia sobre el incidente de seguridad. Eso es comprensible. Esta historia es muy fresca.

Tendremos que confiar en el propio testimonio del atacante y en los informes del NYT para mayor claridad aquí. Según el periódico, el atacante usó tácticas simples de ingeniería social.

Convencieron a un empleado para que entregara su contraseña haciéndose pasar por una "persona de tecnología de la información corporativa".

Lo que sucedió después sigue siendo turbio. Una fuente del NYT afirmó que el ataque fue un "compromiso total" de los sistemas de Uber.

Pero hay una diferencia entre un compromiso y una brecha catastrófica. Donde un incidente se encuentra en cualquiera de esos polos depende en gran medida de la intención.

Si el atacante filtró grandes cantidades de datos de usuarios y los vendió, o pidió un rescate a la empresa, como ocurrió con el hackeo de Uber en 2017, el incidente cae en la última categoría. Hasta el momento, no hay evidencia de esto.

La falta de cualquier motivo económico no justifica lo sucedido. Pero sí indica que este hacker es solo un adolescente curioso con una comprensión escasa de la ley de seguridad cibernética.

Después de comprometer la cuenta del empleado, el atacante encontró un script de Microsoft PowerShell con credenciales de administrador codificadas, según el experto en seguridad Marcus Hutchins.

Con estas credenciales, el pirata informático podría infiltrarse en otras partes del aparato de TI de Uber. En el campo de la seguridad, esto se llama “movimiento lateral”.

O, dicho de otra manera: el atacante aumenta progresivamente su control al comprometer más sistemas, cada uno de los cuales proporciona otra pieza del rompecabezas.

La respuesta

Actualmente estamos respondiendo a un incidente de ciberseguridad. Estamos en contacto con la policía y publicaremos actualizaciones adicionales aquí a medida que estén disponibles.
— Comunicaciones de Uber (@Uber_Comms) 16 de septiembre de 2022

Uber aún debe aclarar cualquier impacto en los usuarios. La empresa aún no ha publicado un anuncio formal en su página de sala de redacción, como suele ser el caso cuando una empresa experimenta una infracción.

En un tuit, Uber dijo que está investigando el incidente en colaboración con las fuerzas del orden.

Dado que el atacante ha hablado con varias agencias de noticias y no tuvo reparos en ocultar su presencia en la red de Uber, es muy probable que se despierte con un golpe en la puerta temprano en la mañana en las próximas semanas y meses.

Actualización: un Threat Actor afirma haber comprometido completamente a Uber: ha publicado capturas de pantalla de su instancia de AWS, el panel de administración de HackerOne y más.

Se burlan y se burlan abiertamente de @Uber. pic.twitter.com/Q3PzzBLsQY
– vx-underground (@vxunderground) 16 de septiembre de 2022

Opsec (o 'seguridad operativa', el proceso de ocultar sus acciones) probablemente no sea su mayor prioridad.

¿Qué significa esto para los clientes de Uber?

Honestamente, no lo sabemos. No hay información definitiva sobre a qué accedió el atacante, si exfiltró algún dato o las políticas de Uber con respecto a la información del cliente.

Como tal, le recomendamos que siga los siguientes pasos:

Como medida de precaución, cambie su contraseña de Uber por otra segura y única. Idealmente, Uber debería proteger las contraseñas con hashing y salting (como se explica aquí). Si no lo hace, o no lo hace en un nivel adecuado, cambiar su contraseña protegerá su cuenta.
Configurar la autenticación de dos factores (MFA o 2FA)
Elimine los datos de su tarjeta de débito. Pagar los viajes de Uber con una tarjeta de crédito significa que puedes hacer un contracargo si un atacante secuestra tu cuenta.

KnowTechie se ha comunicado con un representante de Uber para hacer comentarios. Si recibimos una respuesta, actualizaremos esta publicación.

ACTUALIZACIÓN 20/09/2022 8:30 a. m. ET: Uber publicó una publicación en el blog de su empresa, que proporciona actualizaciones sobre lo que sucedió exactamente y cómo están manejando su respuesta a su reciente incidente de seguridad.

La empresa describe la gravedad de la infracción, cómo ocurrió, quién fue el responsable y qué está haciendo para mitigar el problema. La investigación aún está en curso y la compañía ahora está trabajando con firmas forenses digitales para resolver el problema.

¿Tiene alguna idea sobre esto? Lleve la discusión a nuestro Twitter o Facebook.

Recomendaciones de los editores:

Según los informes, el nuevo truco de TikTok expone el código fuente y los datos del usuario
LastPass informa de una nueva filtración de datos, pero no hay motivo para entrar en pánico
Hacker traslada el icónico FPS Doom a un tractor John Deere
Un nuevo exploit permite a los hackers desbloquear cualquier Honda fabricado desde 2012